在與電動汽車 （EV） 原始設備制造商就無線電池管理系統(tǒng) （wBMS） 的技術和商業(yè)利益進行的早期對話中發(fā)現(xiàn)的挑戰(zhàn)似乎令人生畏，但回報卻大有希望，不容忽視。無線連接相對于有線/有線架構的許多固有優(yōu)勢已經在無數(shù)商業(yè)應用中得到證明，而 BMS 是另一個明確的線切割候選者。

　　圖 1. 使用無線電池管理系統(tǒng) （wBMS） 的電動汽車。

　　更輕巧、模塊化和緊湊的電動汽車電池組的前景——最終擺脫了繁瑣的通信線束——已被廣泛接受。通過消除高達 90% 的電池組布線和 15% 的電池組體積，可以顯著簡化整車的設計和占地面積，以及材料清單 （BOM） 成本、開發(fā)復雜性和相關的手動安裝/維護勞動。

　　更重要的是，單個無線電池設計可以很容易地在 OEM 的整個 EV 車隊中進行擴展，從而排除了針對每個品牌和型號進行廣泛且成本高昂的電池組線束重新設計。借助 wBMS，原始設備制造商可以自由修改其車架設計，而不必擔心必須重新布置電池組內的大量 BMS 布線。

　　從長遠來看，車輛重量和電池組尺寸的持續(xù)減小對于未來幾年延長電動汽車的行駛里程至關重要。因此，wBMS 技術將在幫助 OEM 提升續(xù)航能力方面發(fā)揮重要作用，從而幫助克服消費者長期揮之不去的 EV 續(xù)航焦慮。

　　這不僅有望刺激更大的整體電動汽車市場采用率，而且還使原始設備制造商有機會憑借其行駛里程聲明的實力躍入電動汽車市場的領導地位。這仍將是未來電動汽車原始設備制造商之間的主要差異化因素。有關優(yōu)勢和市場分析的更多詳細信息，請參閱“電動汽車無線電池管理 革命已經開始，投資回報潛力巨大”。［1］

　　新的安全標準

　　要實現(xiàn) wBMS 提供的承諾，需要克服許多挑戰(zhàn)。wBMS 中使用的無線通信需要在汽車行駛時對干擾具有足夠的魯棒性，并且系統(tǒng)必須在所有條件下都是安全的。但是，僅靠穩(wěn)健和安全的設計可能不足以對抗堅定的攻擊者——這就是系統(tǒng)安全發(fā)揮作用的地方。

　　干擾源的變化取決于汽車行駛的地點（例如，城市與農村地區(qū)）以及是否有人在車內使用另一個在相同頻段運行的無線設備。電池組內的反射也會降低性能，具體取決于用于容納電池單元的電池組的材料。wBMS 信號很有可能會波動，在自然條件下可能會破壞通信，更不用說面對惡意行為者了。

　　如果 wBMS 通信以某種方式中斷，汽車可以恢復到“安全模式”，降低性能以允許駕駛員采取行動，或者在 wBMS 通信完全丟失的情況下安全停車。這可以通過適當?shù)陌踩O計來實現(xiàn)，該設計考慮系統(tǒng)中所有可能的故障模式并實施解決組件隨機故障的端到端安全機制。

　　但安全設計并未考慮惡意行為者利用系統(tǒng)為自己謀利的可能性，其中可能包括遠程控制汽車。在 2016 年黑帽會議期間，研究人員在移動車輛上證明了這種可能性，通過車輛網(wǎng)關使用遠程訪問。因此，無線穩(wěn)健性和故障安全設計是不夠的；他們需要有保安陪同。黑帽演示是一個寶貴的教訓，它表明未來汽車中的無線系統(tǒng)需要設計成不能用作另一個遠程入口點。相比之下，傳統(tǒng)的有線電池組不提供遠程訪問，因此要訪問電池數(shù)據(jù)，黑客需要物理訪問車輛中的高壓環(huán)境。

　　如圖 2 所示，在整個 EV 電池生命周期中可能會出現(xiàn)其他安全挑戰(zhàn)。在 Analog Devices， Inc. （ADI），我們設計 wBMS 的方法側重于了解 EV 電池從誕生到出廠的不同階段部署和維護，最后到下一個生命周期或生命周期結束。這些用例定義了 wBMS 必須支持的各種功能。例如，防止未經授權的遠程訪問是 EV 部署過程中的一項考慮因素，但在制造過程中需要更靈活的訪問。另一個例子是可維修性，其中維修權法律要求車主解決由電池或相關 wBMS 引起的問題。

　　此外，當電動汽車電池不再符合電動汽車性能標準時，它們有時會被重新部署到能源領域。這需要將 EV 電池的所有權從其第一個生命周期安全地轉移到下一個生命周期。由于電池是沒有內置智能的設備，因此需要隨附的 wBMS 來執(zhí)行最適合 EV 電池生命周期的適當安全策略。在過渡到第二人生之前，需要安全擦除第一人生的秘密。

　　ADI 預見到了這些問題，并根據(jù)我們自己的核心設計原則解決了這些問題，這些原則對維護和增強從流程到產品的安全完整性給予了極高的評價和詳盡的審查。與此同時，過去三年一直在開發(fā)的關于“道路車輛：網(wǎng)絡安全工程”的 ISO/SAE 21434 ［2］ 標準于 2021 年 8 月正式發(fā)布。它定義了一個類似的詳盡的端到端流程框架，具有四個級別的網(wǎng)絡安全保證。汽車 OEM 和供應商的評分范圍為 1 到 4，其中 4 表示最高級別的一致性（參見圖 3）。

　　圖 2. EV 電池生命周期及其相關的 wBMS 生命周期。

　　圖 3. ISO/SAE 21434 框架和 CAL 4 期望。

　　ADI 的 wBMS 方法符合 ISO/SAE 21434 的要求，適用于汽車行業(yè)安全產品開發(fā)所需的最高級別的檢查和嚴格性。為此，ADI 與著名的可信認證實驗室TüV-Nord合作，評估我們的內部開發(fā)政策和流程。這導致我們的政策和流程經過審查，以完全符合新標準 ISO 21434，如圖 4 所示。

　　圖 4. TüV-Nord 的證書。

　　從設備到網(wǎng)絡的嚴格審查

　　按照我們在 wBMS 產品設計中的系統(tǒng)流程，我們進行了威脅評估和風險分析 （TARA），以根據(jù)客戶打算如何使用產品來繪制威脅態(tài)勢。通過了解系統(tǒng)的功能以及在其生命周期內使用的各種方式，我們可以確定哪些關鍵資產需要保護以及免受哪些潛在威脅。

　　TARA技術有多種選擇，包括著名的Microsoft STRIDE方法，該方法嘗試通過考慮STRIDE一詞縮寫的六種威脅來對威脅進行建模：欺騙、篡改、拒絕服務、信息泄露、拒絕服務， 和E特權提升。然后，我們可以將其應用于構成 wBMS 系統(tǒng)的組件的不同接口，如圖 5 所示。

　　圖 5. wBMS 的威脅面注意事項。

　　這些接口是沿著數(shù)據(jù)和控制流路徑的自然停止點，潛在的攻擊者可能會在未經授權的情況下訪問系統(tǒng)資產。在這里，通過扮演攻擊者的角色并問自己每個威脅在每個接口上的適用程度以及原因，我們可以繪制出可能的攻擊路徑，并確定威脅發(fā)生的可能性以及如果成功，后果可能有多嚴重。然后，我們在不同的生命周期階段重復這個思考過程，因為威脅的可能性和影響可能會因產品所處的環(huán)境（例如，倉庫與部署）而異。這些信息將表明需要采取某些對策。

　　以部署期間無線小區(qū)監(jiān)視器和 wBMS 管理器之間的無線信道為例，如圖 5 所示。如果資產是來自無線小區(qū)監(jiān)視器的數(shù)據(jù)，并且擔心數(shù)據(jù)值泄露給竊聽者，那么我們可能希望在數(shù)據(jù)通過無線通道時對其進行加密。如果我們擔心數(shù)據(jù)在通過通道時被篡改，那么我們可能希望使用數(shù)據(jù)完整性機制來保護數(shù)據(jù)，例如消息完整性代碼。如果關心的是識別數(shù)據(jù)的來源，那么我們將需要一種方法來向 wBMS 管理器驗證無線小區(qū)監(jiān)視器。

　　通過這個練習，我們可以確定 wBMS 系統(tǒng)的關鍵安全目標，如圖 6 所示。這些目標需要一些機制來實現(xiàn)。

　　圖 6. wBMS 的安全目標。

　　很多時候，“我們在選擇機制以實現(xiàn)特定安全目標方面走了多遠？”的問題。被問到。如果增加更多的對策，幾乎肯定會改善產品的整體安全狀況，但代價是巨大的，并且可能給最終消費者使用產品帶來不必要的不??便。一種常見的策略是減輕最容易部署的最可能威脅。傾向于針對更高價值資產的更復雜的攻擊可能需要更強大的安全對策，但這些可能極不可能發(fā)生，因此如果實施，回報率很低。

　　例如，在 wBMS 中，在車輛行駛時對 IC 組件進行物理篡改以獲取電池數(shù)據(jù)測量值的可能性極小，因為需要一名訓練有素且具有深厚 EV 電池知識的機械師才能在汽車行駛時的汽車零件。如果存在，現(xiàn)實生活中的攻擊者可能會嘗試更簡單的路徑。對網(wǎng)絡系統(tǒng)的一種常見攻擊類型是拒絕服務 （DoS） 攻擊——剝奪用戶的產品效用。您可以創(chuàng)建一個便攜式無線干擾器來嘗試干擾 wBMS 功能（硬），但您也可以讓輪胎中的空氣排出（簡單）。

　　將風險與一組適當?shù)木徑獯胧┫鄥f(xié)調的這一步驟稱為風險分析。通過在采取適當對策之前和之后權衡相關威脅的影響和可能性，我們可以確定剩余風險是否已被合理地最小化。最終結果是僅因為需要并且以客戶可以接受的成本水平才包含安全功能。

　　wBMS 的 TARA 指出了 wBMS 安全的兩個重要方面：設備級安全和無線網(wǎng)絡安全。

　　任何安全系統(tǒng)的第一條規(guī)則是“保密您的密鑰！” 這意味著在設備和我們的全球制造業(yè)務中。ADI 的 wBMS 設備安全性考慮了硬件、IC 和 IC 上的低級軟件，并確保系統(tǒng)能夠安全地從不可變內存引導到可信平臺以運行代碼。所有軟件代碼在執(zhí)行之前都經過身份驗證，任何現(xiàn)場軟件更新都需要通過預安裝的憑據(jù)進行授權。將系統(tǒng)部署到車輛中后，禁止回滾到軟件的先前（并且可能是易受攻擊的）版本。此外，一旦部署系統(tǒng)，調試端口就會被鎖定，從而消除了未經授權的后門訪問系統(tǒng)的可能性。

　　網(wǎng)絡安全旨在保護 wBMS 電池監(jiān)控節(jié)點和電池組外殼內的網(wǎng)絡管理器之間的空中通信。安全性始于網(wǎng)絡加入，其中檢查所有參與節(jié)點的成員資格。這可以防止隨機節(jié)點加入網(wǎng)絡，即使它們碰巧在物理上很近。在應用層向網(wǎng)絡管理器的節(jié)點相互認證將進一步保護無線通信通道，使中間人攻擊者不可能偽裝成管理器的合法節(jié)點，反之亦然。此外，為了確保只有預期的接收者可以訪問數(shù)據(jù)，基于 AES 的加密用于加密數(shù)據(jù)，防止信息泄露給任何潛在的竊聽者。

　　保護密鑰

　　與所有安全系統(tǒng)一樣，安全的核心是一組加密算法和密鑰。ADI 的 wBMS 遵循 NIST 批準的指南，這意味著選擇符合 128 位最小安全強度的算法和密鑰大小，適用于靜態(tài)數(shù)據(jù)保護（例如，AES-128、SHA-256、EC-256 ） 并使用經過充分測試的無線通信標準（如 IEEE 802.15.4）中的算法。

　　設備安全中使用的密鑰通常在 ADI 的制造過程中安裝，并且永遠不會離開 IC 設備。這些用于確保系統(tǒng)安全的密鑰反過來又受到使用和靜止的 IC 設備的物理保護，防止未經授權的訪問。然后，分層密鑰框架通過將所有應用程序級密鑰保存為非易失性內存中的加密 blob 來保護所有應用程序級密鑰，包括用于網(wǎng)絡安全的那些。

　　為了促進網(wǎng)絡中節(jié)點的相互身份驗證，ADI 的 wBMS 在制造過程中為每個 wBMS 節(jié)點提供了一個唯一的公鑰-私鑰對和一個簽名的公鑰證書。簽署的證書允許節(jié)點驗證它正在與另一個合法的 ADI 節(jié)點和有效的網(wǎng)絡成員通信，而唯一的公私密鑰對由節(jié)點在密鑰協(xié)商方案中用于建立與另一個節(jié)點的安全通信通道或與 BMS 控制器。這種方法的一個好處是更容易安裝 wBMS，而不需要安全的安裝環(huán)境，因為節(jié)點被編程為在部署后自動處理網(wǎng)絡安全。

　　相比之下，過去使用預共享密鑰來建立安全通道的方案通常需要安全的安裝環(huán)境和安裝程序來手動編程通信端點的密鑰值。為了簡化和降低處理密鑰分配問題的成本，為網(wǎng)絡中的所有節(jié)點分配一個默認的公共網(wǎng)絡密鑰通常是許多人采取的捷徑。這通常會導致當一場徹底的、全面的災難發(fā)生時吸取教訓。

　　隨著 OEM 生產規(guī)模的擴大，能夠利用相同的 wBMS 和跨不同 EV 平臺的不同數(shù)量的無線節(jié)點，并安裝在不同的制造或服務站點，這些站點必須是安全的，我們傾向于使用分布式密鑰方法來簡化整體密鑰管理復雜性。

　　結論

　　只有在從設備到網(wǎng)絡以及在 EV 電池的整個生命周期內確保安全性的情況下，wBMS 技術的全部優(yōu)勢才能實現(xiàn)。從這個角度來看，安全性需要一種系統(tǒng)級的設計理念，包括流程和產品。

　　ADI 預見到 ISO/SAE 21434 標準在其起草期間解決的核心網(wǎng)絡安全問題，并將它們納入我們自己的 wBMS 設計和開發(fā)精神中。我們很自豪能夠成為首批在我們的政策和流程上實現(xiàn) ISO/SAE 21434 合規(guī)性的技術供應商之一，并且目前正在對 wBMS 技術進行最高網(wǎng)絡安全保證級別的認證。

　　參考

　?。?］ 肖恩·奧馬奧尼?！半妱悠嚐o線電池管理革命已經 開始，投資回報潛力巨大?！?模擬設備公司，2021 年 11 月。

　?。?］ ISO/SAE 21434:2021 – 道路車輛。國際標準化組織，2021。

　　所有圖片均由 ADI 公司提供。

　　Lei Poo是ADI汽車業(yè)務部電動汽車集團的系統(tǒng)架構總監(jiān)目前管理系統(tǒng)架構團隊，該團隊負責設計無線電池管理系統(tǒng) （wBMS）。她之前曾領導 ADI 的安全架構和平臺團隊建立內部安全產品開發(fā)流程，現(xiàn)在將 HW 嵌入式安全構建到 ADI 用于工業(yè)以太網(wǎng)和 wBMS 的新興硅產品中。在加入 ADI 之前，Lei 曾在 NXP、Broadcom 和 Marvell 擔任嵌入式系統(tǒng)和安全架構師，為智能卡/智能手機、機頂盒和安全磁盤驅動器設計安全芯片/控制器解決方案。雷獲得博士學位。2005 年獲得斯坦福大學電氣工程博士學位，在硬件嵌入式安全、系統(tǒng)和算法領域擁有 20 項美國專利。